Author: Ronnie Manning

Thumbnail

Jul 25, 2022

認証や最新のMFA用語のアルファベットスープについての解説

大半のサイバー攻撃は、ログインパスワードやその他認証情報の盗難から始まります。 クラウド化が進む世界では、企業、個人、政府機関の通信システムには、インターネット経由で誰でもアクセスでき、攻撃を受けやすくなっています。 様々なサイバー攻撃の中でも、クレデンシャルフィッシングは最も重大な問題で、これらの脅威から自分を保護するためにはガイダンスの意味を理解することが大切です。   Yubicoでは、フィッシング対策の多要素認証(MFA)ガイドの共有をはじめとする保護ツールをご用意しています。 セキュリティ業界には、頭字語や複雑な技術ツールから構成される「アルファベットスープ」の悪いイメージがありますが、MFAも例外ではありません。 MFAのすべてを理解しようとする気が遠くなりますが、MFAの用語や種類を常識的なカテゴリーに分類してみると、思っていたよりもわかりやすくなります。 連邦政府は、企業に対して堅牢な認証プロセスを採用するように、ますます強く要請しています。 バイデン大統領による昨年のサイバーセキュリティに関する大統領令とその他の今年の緊急声明から、行政管理予算局(OMB)による公的機関向けのフィッシング対策MFAのためのゼロトラスト戦略の策定計画、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)の最近の声明とShield Upプログラムまでを踏まえると、今こそサイバーセキュリティ脅威から身を守り、すべてのMFA専門用語を確実に理解する時です。  以下は、組織で使用できる重要な用語です。 これには、主要な認証用語とその定義、および主流認証ツールとMFAツールのリストが含まれています。 また、パスワードの落とし穴と、未来のパスワードレス認証に向けた重要なステップについても、こちらのダイジェスト版ビデオで紹介しています。 MFA用語:2FA、MFA、フィッシング対策MFAの定義  2要素認証(2FA) 2FAとは、2種類の違う要素を組み合わせて使い、ユーザーが主張するオンラインIDを確認する方法です。 これを「2段階認証」と呼ぶ場合もありますが、略語として2FAが使用されています。 2FAに使用される要素には、本人が知る要素(例:パスワードやPIN)、本人が持つ要素(例:セキュリティキーや電話番号)、本人が備える要素(例:顔認証)が含まれます。  多要素認証(MFA) MFAでは、アカウントにサインインするために、複数の証拠または要素を使って、3つ以上の方法でログインすることが要求されます。 MFAにはSMSベースのワンタイムパスワード(OTP)、モバイルアプリ、生体認証、磁気ストライプカード、スマートカード、物理セキュリティキーなど様々な種類があります。  フィッシング フィッシングとは、ユーザーが騙されてユーザー名、パスワード、クレジットカードなどの個人情報を、そのユーザーのアカウントの乗っ取りを謀る第三者に教えるように誘導されることです。 フィッシング攻撃の59%が金銭目的です。 フィッシング対策MFA フィッシング対策MFAとは、攻撃者がアクセス情報を傍受することや、ユーザーを騙して情報を開示させることを防ぐ認証プロセスのことです。 パスワード、SMSやその他のワンタイムパスワード(OTP)、セキュリティの質問、さらにはモバイルプッシュ通知など一般的に使用されるMFAは、前述の攻撃のいずれかまたは両方の影響を受けやすいため、フィッシング攻撃への耐性はありません。 更に、このプロセスでは常に各当事者はその有効性と開始の意思を示す証拠を提出しなければなりません。 アメリカ合衆国行政管理予算局が最近発行した覚書(7ページ)によると、フィッシング対策MFAは、連邦政府のPIV(Personal Identity Verification)カードおよびスマートカードと、最新のFIDOおよびWebAuthnの2つの認証技術として定義されています。   認証とMFAでよく使われている用語 認証アプリ 認証アプリは、モバイルまたはデスクトップ端末で時間ベースのワンタイムパスコード (TOTP) を生成することで、オンラインアカウントのセキュリティ層を追加します。 TOTP方式は2層目のセキュリティを追加する設計で、多数の認証アプリで採用されています。 これには、モバイルとデスクトップにおいて最も安全な認証アプリであるYubico Authenticatorが例に挙げられます。 認証アプリはレベル2の強固なセキュリティですが、フィッシング対策MFAと同じレベルにまでは届きません。 生体認証 生体認証は、物理的または行動的な人間の特性によりシステム、デバイス、またはデータへのアクセスを許可する人をデジタルで識別する仕組みです。 バイオメトリクス識別子の例としては、指紋、顔のパターン、音声、タイピングのリズムが挙げられます。 セキュリティキーなどの生体認証データを取得すると、テンプレートが保存され、後でデバイスまたはアプリケーションへの認証に使用できるようになります。 生体認証は2FAの安全な形態と考えられていますが、それでもサイバー攻撃を受けやすく、Lapsus$による最近のサイバー攻撃など、膨大な生体認証データベースの盗難が発生しています。 FIDO CTAP1 FIDOとは、単純なパスワードに代わる認証規格の開発と普及をミッションとして2013年に発足したオープンな業界団体FIDOアライアンスのことです。 YubicoはFIDOアライアンス理事会の会員で、FIDO標準の作者兼開発者です。 CTAP1とは、Client to Authenticator Protocolのことで、外部ポータブル認証器(ハードウェアセキュリティキーなど)をコンピュータなどのクライアントプラットフォームと連動させることができるプロトコルです。 U2F(上記の定義参照)は、FIDOのCTAP1とCTAP2プロトコルの一部です。  FIDO CTAP2